26 marca 2019 roku Prezes Urzędu Ochrony Danych Osobowych ogłosiła, iż decyzją z 15 marca 2019 roku nałożyła pierwszą karę pieniężną w wysokości ponad 943 tys. zł za naruszenie przepisów RODO w postaci niedopełnienia obowiązku informacyjnego (https://uodo.gov.pl/pl/138/786).

Kara za brak obowiązku informacyjnego

Kara dotknęła podmiot, który przetwarzał dane ogólnodostępne m.in. z rejestrów CEiDG, KRS, GUS. Firma przetwarzała dane ok. 6 mln podmiotów, ale obowiązek informacyjny spełniła wyłącznie wobec ok. 90 tys., wysyłając wymagane informacje na adresy mailowe ujawnione w rejestrach. Jeśli podmiot nie ujawnił adresu mailowego w rejestrze, powiadomienia nie otrzymał. Spółka opublikowała także obowiązek informacyjny na swojej stronie internetowej.

Ukarany podmiot gromadził dane osobowe pośrednio tj. w sposób inny niż od osoby, której dane dotyczą. W takiej sytuacji znajduje zastosowanie art. 14 RODO, który wymaga spełnienia obowiązku informacyjnego w takim samym zakresie, jaki jest wymagany przy zbieraniu danych bezpośrednio od osób, których dane dotyczą, ale ponadto należy podać informację o kategoriach przetwarzanych danych osobowych oraz źródle pochodzenia danych. Przepis art. 14 ust. 5 RODO przewiduje wyjątki od obowiązku informacyjnego. Informować nie musimy m.in. wtedy, jeżeli udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. I na ten wyjątek powołała się ukarana spółka.

Zgodnie z art. 83 ust. 5 RODO naruszenia praw osób, których dane dotyczą, o których mowa w artykułach 12-22 RODO podlegają wyższemu pułapowi administracyjnych kar pieniężnych w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Ponadto kary w każdym indywidualnym przypadku mają być skuteczne, proporcjonalne i odstraszające.

Obowiązek informacyjny to podstawa

Decyzja PUODO z 15 marca br. pokazuje, jak duży nacisk administratorzy powinni położyć na spełnienie obowiązku informacyjnego względem osób, których dane przetwarzają. Prawidłowe wykonanie tego obowiązku wielokrotnie jest w ogóle warunkiem skorzystania przez osobę z praw przewidzianych w RODO, tj. m.in. z prawa dostępu do danych, sprostowania czy wyrażenia sprzeciwu. Właśnie ze względu na potrzebę ochrony praw i wolności osób fizycznych, która jest jednym z zasadniczych celów RODO, prawidłowe spełnienie obowiązku informacyjnego jest tak istotne. Decyzja PUODO pokazuje, iż nie ma przy tym znaczenia fakt, iż przetwarzane są dane ogólnie dostępne w internecie. Z punktu widzenia ochrony osób fizycznych ważniejsze jest to kto dane przetwarza, w jakim zakresie i skąd je pozyskuje. W szczególności jeżeli kompilacja tych danych pozwala takiemu podmiotowi tworzyć bazy danych służące weryfikacji wiarygodności osób fizycznych. I wreszcie liczy się sposób spełnienia obowiązku informacyjnego. Jak się okazuje samo opublikowanie na stronie www nie wystarczy, jeżeli osoby nie wiedzą, że przetwarzamy ich dane, a mamy dodatkowe możliwości dotarcia do osób, których dane przetwarzamy. Jednocześnie w żadnym przepisie RODO nie wymaga, aby informować przez wysłanie, stosunkowo drogich, listów poleconych. Może wystarczyć również e-mail czy sms.

W tym kontekście warto przypomnieć, że francuski organ ochrony danych osobowych (CNIL) nałożył na Google 50 mln euro kary wyłącznie za utrudnianie dostępu do informacji o zasadach przetwarzania danych osobowych.